2015移动安全漏洞年报

1/232/23摘要?54%的业界公开应用漏洞来自于工具类应用，31%来自于电商类应用，13%来自于金融类应用，而游戏类应用被公开爆出的漏洞量最少，占比2%。?25%的业界公开应用漏洞爆发在应用客户端，且其中23%是拒绝服务漏洞，容易引起应用崩溃。71%的公开应用漏洞爆发在应用服务端。?18个行业的Top10应用，97%都存在漏洞风险，平均每个应用有87个漏洞。应用的漏洞量一直处于一个不降反增的状况，安全形势依旧不可忽视。?通用拒绝服务、寄生兽漏洞、WormHole百度全家桶、XcodeGhost等漏洞及安全事件无一不在说明漏洞的潜在攻击面可能扩大。?2015年Android系统漏洞量呈爆发式增长，同比上涨1000%，随着越来越多的研究人员关注移动安全领域，未来Android系统漏洞量依然会保持在一个高水平。?StageFright是Android上真正主动利用可远程代码执行的漏洞，堪称移动平台的“心脏滴血”。提权漏洞依然是Android系统安全的严重威胁。?iOS漏洞研究者增加使2015年iOS系统漏洞同比上涨128%，据2009年来首位。但苹果对漏洞重视、且拥有分层的安全机制，用户及时升级就能防御大多数攻击。?沙箱逃逸文件注入、签名绕过、内核漏洞利用等多个漏洞配合才是完美越狱的基础。?未来，Android整体安全机制在提升，但相较于iOS系统，Android系统的更新和普及更为缓慢，用户无法享受新系统中更完善的安全机制，Android系统安全形势依然严峻。此外，iOS安全的攻防对抗将在2016年更加突出，更多更严重漏洞会推动iOS系统更上一个台阶。3/23目录摘要...............................................................2第一章2015